Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
3
그림
1
ASA
의
ASA FirePOWER
모듈
트래픽
흐름
참고
두 ASA 인터페이스의 호스트끼리 연결되었고 그 인터페이스 중 하나에서만 ASA FirePOWER 서비스 정책이 구성된 경
우, 이 호스트 간의 모든 트래픽이 ASA FirePOWER 모듈에 보내집니다. ASA FirePOWER 인터페이스가 아닌 인터페이
스에서 시작한 트래픽도 마찬가지입니다(양방향 기능).
우, 이 호스트 간의 모든 트래픽이 ASA FirePOWER 모듈에 보내집니다. ASA FirePOWER 인터페이스가 아닌 인터페이
스에서 시작한 트래픽도 마찬가지입니다(양방향 기능).
ASA FirePOWER 패시브(모니터 전용) 모드
모니터 전용 모드의 트래픽 흐름은 인라인 모드와 동일합니다. 유일한 차이점은 ASA FirePOWER 모듈에서 다시 ASA에 트래픽
을 전달하지 않는다는 것입니다. 그 대신 모듈은 트래픽에 보안 정책을 적용하고, 만약 인라인 모드였다면 어떻게 되었을지 보
여줍니다. 이를테면 트래픽이 이벤트에서 "폐기되었을 것"이라고 표시합니다. 이 정보를 트래픽 분석에 활용하고 인라인 모드
의 적합성 여부를 판단할 수 있습니다.
패시브 모드를 구성하려면 트래픽을 모듈에 리디렉션하는 모니터 전용 표시를 서비스 정책에 포함합니다.
을 전달하지 않는다는 것입니다. 그 대신 모듈은 트래픽에 보안 정책을 적용하고, 만약 인라인 모드였다면 어떻게 되었을지 보
여줍니다. 이를테면 트래픽이 이벤트에서 "폐기되었을 것"이라고 표시합니다. 이 정보를 트래픽 분석에 활용하고 인라인 모드
의 적합성 여부를 판단할 수 있습니다.
패시브 모드를 구성하려면 트래픽을 모듈에 리디렉션하는 모니터 전용 표시를 서비스 정책에 포함합니다.
참고
ASA에서 모니터 전용 모드와 일반 인라인 모드를 동시에 구성할 수는 없습니다. 오로지 하나의 보안 정책 유형만 허용
됩니다. 다중 컨텍스트 모드의 경우, 일부 컨텍스트에 대해 모니터 전용 모드를 구성할 수 없고 또 다른 컨텍스트에서는
일반 인라인 모드를 구성할 수 없습니다.
됩니다. 다중 컨텍스트 모드의 경우, 일부 컨텍스트에 대해 모니터 전용 모드를 구성할 수 없고 또 다른 컨텍스트에서는
일반 인라인 모드를 구성할 수 없습니다.
다음 그림은 패시브 모드일 때의 트래픽 흐름을 보여줍니다.
그림
2
ASA FirePOWER
패시브
모니터
전용
모드
ASA
Main System
ASA FirePOWER
Diverted Traffic
ASA FirePOWER
inspection
VPN
Decryption
Firewall
Policy
Block
inside
outside
371444
ASA
Main System
inside
ASA FirePOWER
ASA FirePOWER
inspection
outside
VPN
Decryption
Firewall
Policy
Copied Traffic
371445